Будьте пильні! «Хрещений батько» полює на ваші гроші
У мережі продовжують з’являтися попередження про можливу атаку шкідливого програмного забезпечення «Хрещений батько». 9 січня Федеральне управління фінансового нагляду Німеччини нагадало користувачам про можливу небезпеку.
«Хрещений батько» ( англ. Godfather ) — нове сімейство шкідливих програм, які маскуються під додатки для налаштувань та антивірусного сканування. Вперше про нього стало відомо наприкінці 2021 року. З того часу в інтернеті регулярно з'являються попередження про можливі атаки.
Представники одного з провідних розробників рішень у галузі кібербезпеки Group-IB називають «Хрещеного батька» банківським Android-трояном і нащадком відомого трояна Anubis. Активність останнього значно знизилася через неможливість подолати удосконалені механізми захисту ОС.
Godfather націлений на понад 400 банківських додатків, криптовалютних бірж та додатків для цифрових гаманців як мінімум у 16 країнах.
Спосіб проникнення «Хрещеного батька» на пристрої наразі невідомий. Але Group-IB заявляють про поширення банківського трояна під час завантаження додатків у Google Play Store. А одним із підозрюваних є MYT Müzik, турецький додаток, що має понад 10 млн завантажень.
Як працює «Хрещений батько»?
«Основні можливості шкідливого програмного забезпечення включають віддалені дії, оверлейні атаки, кілогінг, створення скріншотів, моніторинг і блокування SMS/дзвінків/додатків», — повідомляють експерти з кібербезпеки ThreatFabric.
Програмне забезпечення демонструє користувачам підроблені сайти банківських або криптовалютних програм, якими вони зазвичай користуються. Якщо жертви, які нічого не підозрюють про цей трюк, вводять свої персональні дані для входу в особистий кабінет, конфіденційна інформація передається кіберзлочинцям.
Godfather також відправляє push-повідомлення для отримання коду двофакторної аутентифікації. Використовуючи цей важливий номер, зловмисники можуть вільно зламувати рахунки і гаманці користувачів.
Цікаво, що активація «Хрещеного батька» залежить від мови, встановленої на пристрої. Якщо в основних налаштуваннях користувач вибере російську, білоруську, казахську, молдавську, вірменську, азербайджанську, киргизьку, таджицьку або узбецьку мови, шкідлива програма не активується. Це дозволяє Group-IB припускати, що творці трояну проживають в одній із країн СНД.
Німецьке Федеральне управління фінансового нагляду вкотре наголосило на важливості відповідального та обережного використання додатків на мобільних пристроях. Детальні рекомендації користувачі з Німеччини та інших країн можуть знайти у спеціальному відеоролику, підготовленому експертами Федерального управління з інформаційної безпеки та розміщеному на його офіційному YouTube-каналі.
